返回列表 回復 發帖

DHCP監聽技術維護局域網安全

為了提高局域網的地址管理效率,相 信很多網路管理員都會在單位內部架設一臺DHCP伺服器,來為網路中的客戶端系統自動分配上網參數,在這種上網環境下,DHCP伺服器的工作安全性,會直 接影響著整個局域網的運行安全性。在實際管理網路的過程中,局域網可能經常會遇到同時存在多臺DHCP伺服器的現象,這些現象一旦出現,很可能引起資源方 面的衝突,最終引發局域網不能安全、穩定地運行。為了維護局域網的運行安全,我們可以嘗試利用DHCP監聽技術,對DHCP伺服器的工作安全性進行監聽, 以及早消除單位內網中潛在的安全隱患。

安全維護思路
         
對於DHCP伺服器來說,DHCP監聽技術其實就是一種過濾DHCP報文的技術。通過在局域網的核心交換機中啟用DHCP監聽功能,可以將來自局域網中重 要主機或網路設備的不可信任DHCP報文過濾掉,保證客戶端系統只能從經過網路管理員特別授權的可信任DHCP伺服器那裏獲得上網參數,那樣一來可信任的 DHCP伺服器就不會受到非信任DHCP伺服器的“干擾”,那麼局域網的運行安全性、穩定性就能得到保證。比方說,局域網中原先只有一臺可信任的DHCP 伺服器,當用戶不小心將自帶有DHCP服務功能的列印伺服器接入到網路後,那麼列印伺服器就會“搖身”變成一臺非信任的DHCP伺服器,這時局域網中就會 同時存在兩臺DHCP伺服器,那麼普通的客戶端系統該從哪一臺DHCP伺服器中獲得上網參數呢?為了保證客戶端系統能夠獲得合法上網參數,我們只要在交換 機上啟用了DHCP監聽功能,那麼普通客戶端系統就會忽略列印伺服器的存在,而會自動向可信任的DHCP伺服器去申請上網參數。

DHCP監聽功能在工作的時候,交換機會只允許客戶端用戶發送DCHP請求,同時會將類似提供回應的其他DCHP報文自動丟棄掉,這麼一來普通客戶端系統 只能從合法的DHCP伺服器那裏獲得有效的上網參數;雖然非法的DHCP伺服器也能夠對客戶端系統的上網請求進行回應,但是交換機的DHCP監聽功能會將 非法DHCP伺服器的提供回應報文自動丟棄掉,那麼客戶端系統是無法接受到非法DHCP伺服器的回復報文的。此外,通過DHCP監聽功能,交換機會將局域 網中的DHCP報文,自動識別為可信任的DHCP報文和不可信任的DHCP報文,對於來自防火牆、外網設備或者沒有經過網路管理員授權的DHCP伺服器發 送過來的DHCP報文,DHCP監聽功能會自動將它識別為不可信任的DHCP報文,同時對這樣的報文執行丟棄處理,那樣一來沒有授權的非信任DHCP服務 器就不會干擾局域網的安全運行。

安全維護範圍

DHCP監聽技術在保護局域網的DHCP伺服器運行安全時,主要是通過過濾數據報 文的方式,來將DHCP伺服器識別為信任端口或非信任端口的,對於來自信任端口的數據資訊,交換機會允許其正常接受和發送,而對於來自非信任端口的數據信 息,交換機則不予回應。具體的來說,DHCP監聽技術的安全維護範圍主要表現在以下幾個方面:

1、預防地址衝突

DHCP監聽技 術可以防止非信任DHCP伺服器通過地址衝突的方式,干擾信任DHCP伺服器的工作穩定性。在實際管理網路的時候,我們經常會發現在相同的工作子網中,可 能同時有多臺DHCP伺服器存在,這其中有的是網路管理員專門架設的,也有的是無意中接入到網路中的。比方說,ADSL撥號設備可能就內置有DHCP服務 功能,一旦將該設備接入到局域網中後,那麼該設備內置的DHCP伺服器就會自動為客戶端系統分配IP地址。這個時候,經過網路管
返回列表